Bizum, multada por una brecha de seguridad: estos son los números de teléfono filtrados

Bizum tiene diez años a sus espaldas y un historial de seguridad bastante sólido, hasta ahora. La Agencia Nacional de Protección de Datos ha multado a Bizum S.L. con 80.000 euros tras el robo de datos personales de varios miles de usuarios debido a una 'inadecuada implementación' de medidas de protección. Así se establece en la resolución EXP202318538 de la AEPD publicada el pasado agosto y de la que ahora se ha hecho eco el medio Bandaancha.eu.

La brecha de seguridad se produjo en 2023, pero la AEPD ya había sido informada en 2020 de la vulnerabilidad de la plataforma a tácticas de scraping. Esto es, cuando se utiliza un software para extraer datos de webs de forma automática.

Filtración de datos mediante scraping

En el caso de Bizum, los ciberdelincuentes aprovecharon una de las funcionalidades de la plataforma. Cuando se introduce un número de teléfono en Bizum, el sistema muestra nombre e iniciales de su titular. Un usuario informó a la AEPD de que este sistema podía ser abusado para relacionar números de teléfono con nombres de usuarios de forma generalizada. La agencia lo estudió, pero no tomó medidas tras conocer las que Bizum había establecido para impedir ese tipo de abuso. Entre ellas, el bloqueo de las cuentas que iniciaran más de 30 envíos sin terminarlos.

Sin embargo, en septiembre de 2022 se produjo una brecha de seguridad usando esa técnica de scraping. La filtración se produjo a través de la web de una de las entidades adheridas al sistema de pago instantáneo. El inusual aumento de peticiones al directorio fue detectado y el usuario bloqueado tras dos horas de scraping, pero para entonces los ciberdelincuentes ya habían obtenido los datos de 20.070 usuarios de Bizum.

Pese a ello, Bizum no informó a los usuarios afectados al considerar que no existía un riesgo alto para los derechos y libertades de los interesados y que con los datos obtenidos -número de teléfono, nombre e iniciales de los apellidos- los interesados no podían ser objeto de ningún fraude. La plataforma presentó una evaluación de la severidad de la brecha, utilizando la metodología propuesta por la Agencia Europea para la Ciberseguridad (ENISA), que concluyó que el grado de severidad era 'Bajo'.

Los números de teléfono filtrados de Bizum

La AEPD reprocha a Bizum que no informara a los usuarios, a pesar de que se ajustara a lo establecido en el artículo 34.3 del RGPD sobre cuándo deben comunicarse a los afectados la filtración de sus datos. El motivo de la sanción no es esa falta de comunicación, sino el artículo 32 del RGPD referido a la seguridad del tratamiento de los datos.

Uno de los motivos es el amplio periodo de tiempo transcurrido desde que se produjo la brecha hasta que Bizum tuvo conocimiento de la misma. Esto sucedió un año después, en noviembre de 2023, cuando apareció en la Dark Web una base de datos con una muestra de 2.634 registros de los 20.070 obtenidos a la venta. La AEPD también critica que Bizum no detectara la filtración a través de sus herramientas internas, sino por este hecho.

Los números de teléfono que aparecían en dicha muestra abarcan desde el 600 000 000 al 600 007 494, pero el de la filtración completa, que no ha trascendido, es mayor. Bizum ha asegurado que contrató a una empresa especializada para hacer desaparecer toda la información filtrada de la red y que actualmente no es posible encontrar réplicas de la misma.

Las medidas que debe tomar Bizum

Además de la sanción económica, que inicialmente era de 100.000 euros pero se reduce un 20% por pago voluntario de la empresa, la resolución de la AEPD la obliga a tomar medidas correctivas. Estas son:

• Acreditar la adopción de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de datos que realiza.
• Restringir el acceso a información personal, que debe producirse únicamente en el momento de la operación de transferencia en que sea estrictamente necesario.
• Las medidas deben estar diseñadas para evitar que el acceso a dicha información pueda ser realizado por no autorizados.

La AEPD advierte de que no cumplirlas podría ser considerado una infracción administrativa tipificada en los artículos 83.5 y 83.6 del RGPD, causa de apertura de un nuevo procedimiento sancionador.